Regin gilt als die fortschrittlichste Malware-Familie, die jemals von einem nationalstaatlichen Akteur entwickelt wurde. Sie wurde von der NSA entwickelt und mit einigen ihrer Five Eyes-Partner (hauptsächlich mit dem GCHQ) geteilt. Seine Existenz war 2014 öffentlich bekannt gegeben, aber die frühesten Beispiele stammen aus dem Jahr 2011, und es besteht der Verdacht, dass die Malware bereits im Jahr 2003 erstellt wurde.
Zu den bekannten Fällen, in denen Regin in freier Wildbahn eingesetzt wurde, gehören: Belgisches Telekommunikationsunternehmen Belgacom, gegen die deutsche Regierung, und, der jüngste Fall, Russischer Suchriese Yandex.
Auf technischer Ebene betrachten Sicherheitsforscher Regin als das bisher fortschrittlichste Malware-Framework mit Module für Dutzende von Funktionen, wobei die meisten auf Überwachungsvorgänge ausgelegt sind und darauf abzielen, bei Infizierten unentdeckt zu bleiben Gastgeber.
Als es 2012 entdeckt wurde, verwendeten Sicherheitsforscher nicht unbedingt den Begriff „Malware“, um Flame zu beschreiben. Damals war Flame so weit fortgeschritten, dass man den Begriff „
Angriffs-Toolkit" um seine Struktur zu beschreiben, die etwas seinem großen Bruder Regin ähnelt.Wie bereits erwähnt ist Flame eine Sammlung von Modulen, die auf dem Flame-Framework basieren und auf der Grundlage der von den Betreibern benötigten Funktionen bereitgestellt werden.
Es wurde 2012 vom MAHER Center of Iranian National CERT bei Angriffen gegen Regierungsbehörden des Landes entdeckt. Die Entdeckung erfolgte zwei Jahre nach den Stuxnet-Malware-Angriffen und wurde schnell mit der Equation Group, einem Codenamen der US-amerikanischen NSA, in Verbindung gebracht. Es wurde später auch bei Angriffen gegen andere Regierungen im Nahen Osten entdeckt. Momentan, Flames Wikipedia-Seite enthält die beste Zusammenfassung aller Entdeckungen im Zusammenhang mit Flame.
Stuxnet ist die einzige Malware auf dieser Liste mit Eigener Dokumentarfilm.
Die Malware wurde in den 2000er Jahren gemeinsam von der US-amerikanischen NSA und der israelischen Einheit 8200, der Cyber-Abteilung des israelischen Militärs, entwickelt. Es wurde 2010 im Iran eingesetzt, als Teil einer gemeinsamen Aktion beider Länder zur Sabotage des iranischen Atomprogramms.
Stuxnet, das zum Zeitpunkt seiner Entfesselung angeblich vier verschiedene Zero-Days verwendet hatte, war speziell für die Bekämpfung industrieller Steuerungssysteme programmiert worden. Seine Aufgabe bestand darin, die Einstellungen von Zentrifugen zur nuklearen Anreicherung durch Erhöhen und Verringern der Rotorgeschwindigkeit zu ändern, um Vibrationen zu erzeugen und die Maschinen zu zerstören.
Die Malware war erfolgreich und soll über 200.000 Computer infiziert und schließlich fast 1.000 Zentrifugen im iranischen Atomkraftwerk Natanz zerstört haben.
Die erste nicht in den USA entwickelte Malware auf dieser Liste ist Shamoon, ein Malware-Stamm, der von staatlichen Hackern des Iran entwickelt wurde. Es war Erstmals im Jahr 2012 eingesetzt im Netzwerk von Saudi Aramco, dem größten Ölproduzenten Saudi-Arabiens. Die Malware, ein Datenlöscher, zerstörte bei dem Angriff im Jahr 2012 über 30.000 Computer.
Es wurde eingesetzt ein zweiter Angriff im Jahr 2016, gegen das gleiche Ziel. Zuletzt wurde es bereitgestellt gegen den italienischen Öl- und Gaskonzern Saipem, wodurch angeblich 10 % der PC-Flotte des Unternehmens zerstört wurden.
Eine neuere Ergänzung dieser Liste ist Triton (auch bekannt als Trisis). Es wird angenommen, dass es sich um diese Malware handelte entwickelt von einem russischen Forschungslabor.
Es wurde im Jahr 2017 eingesetzt. Es war speziell entwickelt zur Interaktion mit den Triconex Safety Instrumented System (SIS)-Steuerungen von Schneider Electric. Laut technischen Berichten von Feuerauge, Dragos, Und SymantecTriton wurde entwickelt, um entweder einen Produktionsprozess abzuschalten oder TriconSIS-gesteuerte Maschinen in einem unsicheren Zustand arbeiten zu lassen. Der Code der Schadsoftware ist durchgesickert und wurde schließlich gelöscht veröffentlicht auf GitHub.
Die Industryroyer-Malware, auch bekannt als Crashoverride, ist ein Malware-Framework, das von russischen Staatshackern entwickelt und im Dezember 2016 bei Cyberangriffen auf das ukrainische Stromnetz eingesetzt wurde.
Der Angriff war erfolgreich und führte zu einer einstündigen Stromunterbrechung in einem Teil der ukrainischen Hauptstadt Kiew. Die Malware gilt als Weiterentwicklung früherer Stämme wie Havex und BlackEnergy, die auch bei Angriffen auf das ukrainische Stromnetz eingesetzt wurden. Allerdings im Gegensatz Havex Und BlackEnergy, die eher generischer Windows-Malware ähnelten, die gegen Systeme zur Verwaltung industrieller Systeme eingesetzt wurde, Industrieer enthielt Komponenten, die speziell für die Interaktion mit Siemens-Stromnetzgeräten entwickelt wurden.
Es wird angenommen, dass es sich um die Schöpfung der berüchtigten militärischen Cyber-Einheit 8200 Israels handelt. Duqu wurde 2011 von ungarischen Sicherheitsforschern entdeckt. Eine zweite Version wurde 2015 entdeckt und erhielt den Codenamen Duqu 2.0.
Die erste Version wurde zur Unterstützung von Stuxnet-Angriffen eingesetzt, während die zweite Version dazu verwendet wurde, das Netzwerk des russischen Antivirenunternehmens Kaspersky Lab zu kompromittieren. Duqu 2.0 wurde auch auf gefunden Computer in Hotels in Österreich und der Schweiz wo die internationalen Verhandlungen zwischen den USA/EU und Iran über sein Atomprogramm und Wirtschaftssanktionen stattfanden.
PlugX ist ein Remote-Access-Trojaner (RAT), der erstmals 2012 bei Angriffen entdeckt wurde, die chinesischen Hackern zugeschrieben werden. Seit ihrer Entdeckung scheinen chinesische Hacker die Malware untereinander weitergegeben zu haben, und nun ist sie es auch wird von den meisten chinesischen nationalstaatlichen Gruppen häufig verwendet, was die Zuordnung zu einer Gruppe unglaublich macht schwierig. A guter technischer Bericht zu PlugX ist hier verfügbar.
Uroburos war das Rootkit, das von der berüchtigten Turla-Gruppe entwickelt wurde, einer der fortschrittlichsten nationalstaatlichen Hackergruppen der Welt, die mit der russischen Regierung verbunden ist.
Entsprechend ein G DATA Bericht„Das Rootkit ist in der Lage, die Kontrolle über einen infizierten Computer zu übernehmen, beliebige Befehle auszuführen und Systemaktivitäten zu verbergen.“
Uroburos (auch als Turla- oder Snake-Rootkit bezeichnet) war weit verbreitet und erwies sich als sehr effizient der begrenzte Zweck, für den es verwendet wurde – um Boot-Persistenz zu erreichen und andere Malware-Stämme herunterzuladen.
Es war das zentrale Element von Turla-APT-Angriffen und wurde auf infizierten Computern gesehen in Europa, den USA und dem Nahen Osten, bereits 2008. Zu den Zielen gehörten in der Regel staatliche Stellen. Es wurde in 45 Ländern gesehen. Eine Linux-Variante wurde ebenfalls im Jahr 2014 entdeckt.
Ein weiteres Stück chinesischer Malware, das einst von einer Gruppe verwendet wurde, später aber von anderen geteilt und wiederverwendet wurde.
ICEFOG wurde erstmals 2013 entdeckt und erlebte in den letzten zwei Jahren ein Comeback mit neuen Varianten und sogar einer Mac-Version. Mehr dazu in unserer aktuellen Berichterstattung.
WARRIOR PRIDE, die einzige mobile Malware auf dieser Liste, ist ein gemeinsam von der US-amerikanischen NSA und dem britischen GCHQ entwickeltes Tool. Es funktioniert sowohl auf Android als auch auf iPhones und die Nachricht von seiner Existenz wurde im Jahr 2014 veröffentlicht. während der Snowden-Leaks.
Was die Funktionen angeht, war die iPhone-Variante weitaus fortschrittlicher als die Android-Variante. Es konnte alle Inhalte von infizierten Hosts abrufen, Gespräche in der Nähe abhören, indem es das Mikrofon stillschweigend aktivierte, und konnte sogar dann funktionieren, wenn sich das Telefon im Energiesparmodus befand.
Die Olympic Destroyer-Malware wurde bei einem Angriff eingesetzt, der während der Eröffnungsfeier der Olympischen Winterspiele 2018 in Pyeongchang die Internetverbindungen lahmlegte. Von dem Angriff waren vor allem Fernsehsender und Journalisten betroffen.
Die Malware wurde angeblich von russischen Hackern erstellt und als Gegenleistung für das Internationale Olympische Komitee eingesetzt russische Athleten wegen Dopingvorwürfen von den Olympischen Winterspielen auszuschließen oder einigen von ihnen die Teilnahme unter dem russischen Gesetz zu verbieten Flagge.
Die Malware selbst war ein Informationsdiebstahler, der App-Passwörter auf infizierten Systemen ablegte, die Hacker später zur Eskalation ihrer Schadsoftware nutzten Zugriff auf andere Systeme, von wo aus sie später einen Datenlöschangriff auslösten, der einige Server lahmlegte und Router. Neue Olympic Destroyer-Versionen wurden im Juni 2018 entdeckt, Monate nach den ersten Angriffen.
Die einzige von APT entwickelte Malware auf dieser Liste, die zur Infektion von Routern entwickelt wurde, ist VPNFilter. Die von russischen Staatshackern entwickelte Malware wurde bereits vor dem Jahr 2018 eingesetzt Champions League Finale, das in Kiew, Ukraine, stattfand.
Angeblich war geplant, die Schadsoftware einzusetzen und Router während der Live-Übertragungen des Live-Finales zu beschädigen, ähnlich wie dies auch der Fall war Während der Eröffnungsfeier der Winterspiele 2018 in Pyeongchang wurde die Malware Olympic Destroyer eingesetzt, um Internetverbindungen lahmzulegen Olympia.
Glücklicherweise sind Sicherheitsforscher aus Cisco Talos sah, wie das VPNFilter-Botnetz aufgebaut wurde, Und hat es mit Hilfe des FBI beseitigt. Nach Angaben des FBI wurde die Malware angeblich von der Fancy Bear APT erstellt.
Bei allen drei Ransomware-Ausbrüchen im Jahr 2017 handelte es sich um Malware-Stämme, die von nationalstaatlichen Hackern entwickelt wurden, wenn auch aus unterschiedlichen Gründen.
Das erste davon, die WannaCry-Ransomware, War entwickelt von nordkoreanischen Staatshackern, mit dem alleinigen Zweck, Opfer zu infizieren und Lösegelder für das Pjöngjang-Regime zu sammeln, das zu dieser Zeit schweren Wirtschaftssanktionen unterlag. Um die Auswirkungen dieser Sanktionen abzumildern, setzte das Regime staatliche Hacker ein, um Banken auszurauben, Kryptowährungen zu schürfen oder Ransomware-Operationen durchzuführen, um Gelder zu sammeln.
Fehler im WannaCry-Code führten jedoch dazu, dass sich die Ransomware nicht nur in lokalen Netzwerken verbreitete Die interne selbstreplizierende (Wurm-)Komponente ging durcheinander und infizierte alles in Sichtweite, was zu einem globalen Virus führte Ausbruch.
Zwei Monate nach WannaCry kam es weltweit zu einem zweiten Ransomware-Ausbruch. Angerufen Nicht Petya, diese Ransomware war codiert von der russischen Gruppe Fancy Bear (APT28).und wurde zunächst nur in der Ukraine eingesetzt.
Aufgrund gemeinsam genutzter Netzwerke und Unternehmens-VPNs verbreitete sich die Ransomware jedoch ähnlich wie WannaCry weltweit und verursachte Schäden in Milliardenhöhe. Genau wie WannaCry nutzte NotPetya den EternalBlue-Exploit als zentralen Bestandteil seiner Wurmkomponente. (Weitere Informationen zu EternalBlue finden Sie auf der letzten Folie.)
Auch der letzte weltweite Ransomware-Ausbruch im Jahr 2017 war das Werk staatlicher Hacker. Genau wie NotPetya, Böses Kaninchen War die Arbeit russischer Hacker, der es ebenfalls in der Ukraine einsetzte, aber die Ransomware verbreitete sich weltweit, wenn auch mit geringeren Auswirkungen im Vergleich zu den ersten beiden, WannaCry und NotPetya.
Im Gegensatz zu NotPetya nutzte es EternalBlue nicht als primären Verbreitungsmechanismus und enthielt auch viele Game of Thrones-Referenzen.
EnternalBlue ist zwar nicht per se Malware im klassischen Sinne des Wortes, sondern eher ein Exploit, aber es wurde dennoch von einer nationalstaatlichen Einrichtung entwickelt und sollte in diese Liste passen. Es wurde von der NSA erstellt und wurde im April 2017 öffentlich, als eine Gruppe mysteriöser Hacker namens The Shadow Brokers den Code online veröffentlichte.
Nach seiner Veröffentlichung wurde es zunächst in Kryptowährungs-Mining-Kampagnen eingesetzt, entwickelte sich jedoch zu einem weithin bekannten und beliebten Tool erkennbarer Begriff, nachdem er in den Code der drei Ransomware-Ausbrüche von 2017 eingebettet wurde, nämlich WannaCry, NetPetya, und Bad Rabbit.
Seit damals, EternalBlue hat sich geweigert zu sterben und wurde in großem Umfang von allen Arten von Cyberkriminellen eingesetzt, die es alle als Mechanismus für nutzen Ausbreitung auf andere Systeme in kompromittierten Netzwerken durch Ausnutzung falsch konfigurierter SMBv1-Clients unter Windows Computers.